Se você já deu início ao plano de adequação para LGPD, sabe que a adequação às novas leis de proteção de dados vai muito além do âmbito jurídico. Ela exige uma mudança na cultura empresarial e na forma de lidar com estes ativos tão importantes, que são as informações de terceiros.
Um conceito que emergiu juntamente com a legislação, que pode ser considerado uma boa prática, é a Privacidade por Design. Ou seja, considerar a proteção dos dados como algo essencial, desde o início do projeto de um sistema.
O ponto principal é devolver ao usuário, o controle pleno de seus dados, lhe dando o poder de escolha e recuperando sua privacidade. Para as empresas, isso significa uma mudança na cultura organizacional da empresa, contando com um Plano Diretor de TI que preveja as adaptações necessárias.
A adaptação à LGPD é uma longa jornada que demanda profundas mudanças nos principais pilares de uma empresa: tecnologias, processos e pessoas. Para ajudar nessa caminhada, compilamos alguns passos para sua empresa se adequar não apenas à legislação, mas também às demandas de segurança da nova era digital.
Bora lá conhecer esses passos para montar o seu plano de adequação para LGPD?
1) Conheça a LGPD
É preciso começar pelo mais essencial no seu plano de adequação para LGPD. Antes de pensar em tecnologias novas, reformular processos e estabelecer novas diretrizes aos colaboradores e fornecedores, é necessário conhecer a legislação em profundidade e entender como sua empresa, seus processos e suas atividades serão impactadas pela lei.
2) Designe um Data Protection Officer (DPO)
De acordo com o texto da LGPD, as empresas devem nomear um oficial de proteção de dados. A missão do Data Protection Officer (DPO) da empresa deve ser definir e acompanhar a aplicação de melhores práticas relacionadas às demandas LGPD, realizar auditorias de privacidade internamente e garantir que todos os assuntos de conformidade/compliance estejam sempre atualizados. Vamos conhecer o próximo passo para o plano de adequação para LGPD!
3) Mapeie o fluxo de dados
Conhecendo a fundo a legislação e tendo nomeado um DPO, a empresa precisa mapear os seus processos e entender como ocorre o fluxo de dados internamente. Além disso, é preciso identificar quais tipos de dados são processados, por quem são processados e para que são necessários.
Tudo isso para entender quem deve ou não ter acesso aos dados e, se possível, restringir a coleta somente aos dados realmente relevantes para a empresa. Sendo essa uma ação que auxilia a garantir maior segurança e privacidade aos clientes e menores riscos para a organização.
4) Implemente a governança de dados
Para um plano de adequação para LGPD assertivo, é preciso implementar uma governança de dados. A governança de dados é uma estrutura com o propósito de coordenar, orientar e definir regras para a criação, coleta e uso dos dados, visando proteger a propriedade intelectual da empresa e garantir a segurança no armazenamento, monitoramento e geração de dados no ambiente corporativo.
A governança de dados trabalha com as políticas da empresa, os processos internos, os recursos humanos e digitais e o uso de tecnologias relacionadas à segurança em prol de proporcionar mais transparência nos processos internos, maior controle e segurança dos dados e ajuda a desmontar silos informacionais dentro da empresa.
5) Crie ou atualize a Política de Segurança da Informação
A Política de Segurança da Informação (também conhecida como PSI) é um conjunto de ações, técnicas e boas práticas para o uso seguro de dados na empresa. É, em síntese, um documento similar a um código de conduta que determina as ações mais importantes para garantir a segurança da informação.
O principal objetivo de uma PSI é a proteção dos dados para que somente pessoas autorizadas tenham acesso e para evitar que ocorram vazamentos dessas informações. A PSI também é uma forma de orientar e conscientizar os colaboradores sobre como eles devem agir em relação aos dados e à segurança da informação na empresa.
6) Tenha um PDTI bem estruturado considerando a LGPD
O PDTI, sigla para Plano Diretor de Tecnologia da Informação, é o documento que define as diretrizes para o alinhamento das estratégias de TI com os objetivos gerais do negócio. Ele envolve desde o diagnóstico, planejamento e gestão dos recursos humanos, até as infra estruturas e sistemas de informação da empresa.
É com o PDTI que a empresa consegue definir quais recursos técnicos, materiais e humanos são necessários para implementação tática na gestão, a fim de que se consiga o desenvolvimento institucional esperado.
Em termos de compliance e segurança da informação, o PDTI é essencial na medida em que auxilia na padronização e sistematização dos procedimentos no setor de TIC (Tecnologia da Informação e Comunicação) e promove uma mudança na cultura da empresa em prol de mais atenção, cuidado e segurança em relação à coleta, tratamento e uso de dados internos e externos.
7) Implemente o monitoramento sistêmico
Também é importante reforçar a estratégia de monitoramento dos dados na empresa. Isso pode ajudar a reduzir as vulnerabilidades e evitar que terceiros mal intencionados roubem, danifiquem ou publiquem informações sigilosas dos usuários além disso, por consequência, os riscos de não conformidade com o LGPD também são mitigados.
A adequação às novas leis de proteção de dados vai muito além do âmbito jurídico e demanda uma mudança significativa na forma de lidar com estes ativos tão importantes – considerados o petróleo da era digital – que são as informações de terceiros. Vamos ao próximo ponto para o plano de adequação para LGPD!
8) Tenha uma solução DLP
Antes de mais nada, é preciso ter em mente que a sigla DLP possui dois significados distintos: Data Loss Prevention e Data Leak Prevention. Data Loss Prevention significa prevenção contra a perda de dados e uma solução de DLP desse tipo tem foco maior em assegurar os dados e arquivos mais sensíveis e restritos da empresa.
Já a Data Leak Prevention significa prevenção contra vazamento de dados e é uma solução que foca em barrar acessos indevidos aos sistemas e dados pessoais – tal como usuários, senhas e dados de cartão de crédito – e assim os protege contra ações maliciosas que visem roubar ou vazar essas informações.
Nesse sentido, ter uma solução eficiente de DLP garante que a empresa possa acessar seus sistemas e utilizar ferramentas com mais segurança, isso porque, além de proteger os dados armazenados em locais específicos, algumas soluções de DLP, tal como a do Google Workspace, asseguram inclusive os dados que estão em trânsito, evitando que sejam interceptados por hackers no meio do caminho ao seu destino final.
9) Conte com boas soluções de segurança digital
Embora a adequação à LGPD não seja apenas sobre tecnologias, contar com uma boa solução de cibersegurança ajuda a evitar muitos problemas e falhas que são potencialmente perigosas e colocam os dados sob muitos riscos. Para isso, recomendamos soluções que possam ser integradas entre si e trabalhem juntas para uma proteção completa.
Um grande exemplo é a Solução de Segurança Sincronizada da Sophos, na qual todas as soluções Sophos conectadas em uma mesma rede se comunicam entre si e realizam a proteção em camadas de segurança.
Ou seja, desde o firewall (NGFW) até o usuário (Endpoint), informações são coletadas e tratadas de forma segura, valendo-se de criptografia de ponta a ponta e ações proativas, rápidas e automáticas para garantir a segurança da rede da empresa.
10) Siga as diretrizes das ISOs para proteção adicional
Outra forma de se proteger é estudar e implementar as certificações ISO que dizem respeito à segurança da informação, com destaque para a ISO 27002 e ISO/IEC 27018.
A ISO 27002 é responsável pela definição do código de boas práticas para dar o suporte necessário à implantação do SGSI e determinar princípios para iniciar, manter e aprimorar a segurança da informação da empresa, incluindo a seleção, implementação e gestão dos controles segundo os ambientes de risco encontrados na empresa.
Já a ISO/IEC 27018 é um código de práticas para proteção de informações de identificação pessoal (PII) em nuvens públicas que fornece orientações específicas para CSPs (Cloud Services Provider, ou, provedores de serviços de nuvem) que atuam no processamento de PII, bem como avaliam os riscos e implementar controles avançados para a proteção das informações nesses ambientes.
E, aí? Gostou do artigo de hoje? Qual desses pontos chamou mais a sua atenção? Esperamos que o conteúdo de hoje desperte em você alguma ação para agir em prol da melhoria do seu negócio
Converse com o seu time, coloque as suas ideias em prática! O importante é dar esse primeiro passo e os próximos 20 metros serão apresentados na medida que você for caminhando. E, lembre-se, nosso time de especialistas está aqui para te acompanhar no que precisar em sua jornada rumo à LGPD.
Acesse nosso Ebook Step by Step para LGPD
No conteúdo de hoje, buscamos reunir as principais informações acerca da LGPD para que você possa ter um panorama mais assertivo sobre a área. A LGPD é uma jornada e toda jornada começa no seu primeiro passo.
Se você precisa de ajuda para começar a estruturar a LGPD na sua empresa, acesse nosso Ebook Step by Step para LGPD. Neste material, aprofundamos mais em detalhes sobre ferramentas, técnicas e processos da área para que você e sua equipe possam trabalhar objetivamente.
Para baixar o material, basta acessar esse link e boa leitura!